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(54) Verfahren zur sicheren Schlusseiverteilung 

(57) Ein Verfahren zur sicheren Schtusselverteiiung 
mit einer sicheren Schlussetverteilzentrale umfaRt die 
folgenden Schritte: 

(I) Erzeugen mindestens zweier geratespezifischer 
Masterschlussel in einer sicheren Schlusselverteil- 
zentrale (30), 

(It) Ausstatten von Speichem von Geraten (iO)= die 
zu einem System gehoren, mit dem zugehbrigem 
Masterschlussel (MKEK-i), wahrend der Herstel- 
tung der Gerate in einem gesicherten Bereich (50, 
60). 

(Ill) Verbinden der Gerate (10, 20,... iO xO) zu ei- 



nem System und Initialisierung der zum System 
verbundenen Gerate {10. 20,... iO,..., xO)uber einen 
ungestcherten Kanal (37) mit Generierung. ver- 
schlOsselter Ubermittlung von der sicheren Schlus- 
selverteilzentraie (30) und nichtfluchtiges Spei- 
chem eines enlschlusselten gemeinsamen gehei- 
men Verschlusselungsschtussels (KEK) auslesesi- 
cher in den Speichem der Gerate des Systems, wo- 
bei jeweils zwei Gerate, welche miteinander kom- 
munizieren sollen, mit einem geheimen gemeinsa- 
men Verschlusselungsschiussel (KEK) ausgestat- 
tet werden. 
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Beschretbung 

[0001] Die Erfindung betrifft ein Verfahren zur siche- 
ren Schlusselverteilung mit einer sicheren Schlussel- 
verteiizentrale gemaB des Oberbegriffs des Anspruchs 
1 . Die Erfindung ist fur die Herstellung und Inttialisierung 
von Franktereinrichtungen bestehend aus mindestens 
zwei Geraten geeignet. die zusammen ein offenes Sy- 
stem btlden aber dennoch falschjngsstcher Oaten aus- 
tauschen kbnnen. 

[0002] Es ist bekannt, daB ein Gerat, welches mit ei- 
nem anderen Gerat sicherheitsrelevante Daten aus- 
tauscht, einen sicheren Kanal aufweisen mufS. So wird 
laut DE 24 38 055 C2 (US 3.938.095) eine elektronische 
PortomeBschaftung einerseits uber eine Sicherheits- 
verbindung mit dem Drucker verbunden. Die elektroni- 
sche Portome3schaltung ist in einem gesicherten Ge- 
hause angeordnet und steht andererseits mit einem 
Rechner in Kommunikationsverbindung. 
[0003] Werden allernaliv sotche sicherfieitsrelevan- 
ten Daten, wie gekjwerte Daten. uber einen unsicheren 
Kanal transferiert, mussen die Daten auf eine andere 
geeignete Art und Weise gegen eine Manipulation in 
Falschungsabsicht geschutzt werden. Beispielsweise 
durfen aufgezeichnete Daten Obertragungssignale nicht 
zu einem unabgerechneten erneutem Abdruck fuhren, 
wenn sie emeut zum Druckkopf ubermrttelt werden. 
[0004] Aus dem EP 716 398 A2 ist eine Frankierma- 
schine mit einer erweiterten Druckkopf -hardware und 
mit einer speztellen Druckdatensteuerung in einem 
ASIC bekannt. Das ASIC gestattet einerseits die Kom- 
munikation mil den Sensoren und Aktoren und anderer- 
seits die Ubermittlung eines Freischaltcodes und den 
Empfang eines Quittungscodes mit anschlieBendem 
Vergtek:h. Beide, sowohl die spezielle Druckdaten- 
steuerung als auch die einer erweiterte Dnjckkopfhard- 
ware. sind mit einem Codegenerator ausgestattet, der 
f Or jede Druckbildubertragung einen einzigartigen Code 
generiert. Das ASIC dient somit fur die Kommunikation 
mit dem Druckkopf als SicherhectsrTKxjul. Der Druckkopf 
ist seinerseits mit einer erweiterten Druckkopfhardware 
ausgestattet, wek:he zum Oberpruf en eines empfange- 
nen Freischaltcodes ausgebildet ist. um den Druckkopf 
fur genau einen Abdruck f reizuschalten. 
[0005] Aus dem EP 789 333 A2 ist eine Frankierma- 
schlne mit einem Sicherheitsmodut bekannt, welchedie 
Abrechnung fur die durchz-:Ohrenden Frankierungen 
vornimml, wobei das Sicherheitsmodul von einem Si- 
cherheitsgehause umgeben ist und den Datenflu3 zum 
Drucker uberwacht. Dieser Drucker kann einen mantpu- 
lationsstcheren Abdruck drucken, der eine einzigartige 
Markierung fur jedes der Poststucke aufweist. Das Si- 
cherheitsmodul konnte nun zusatzlich mit der vorge- 
nannten spezielten Druckdatensteuerung Oder um eine 
Verschlusselungseinrichtung erweitert werden, um we- 
nigstens einige Daten zu verschlussein und dann zum 
Drucker zu senden. 

[0006] Ein Postverarbeitungssystem mit einer uber 



2 

Personalcomputer gesteuerten druckenden Maschi- 
nen-Basisstation. gemafl der nicht vorveroffentlichten 
deutschen Patentanmeldung Nr. 1 97 11 998.0, weist ein 
in einen Personalcomputer eingebautes Sicherheitsmo- 

5 dul auf, welches mit der Druckkopfelektronik uber eine 
serielle Schnittstelle kommuniziert. AufJerdem ist vorge- 
sehen, da(3 von der Druckkopfelektronik die Authentizi- 
tai mindestens einiger derjenigen vom Sicherheitsmo- 
dul gelieferten Druckdaten Oberpruft wird. Vorausset- 

10 zung fur die Erzeugung eines Codes bzw. einer Ver- 
schlusselung ist ein geeigneter Algorithmus bzw. Ver- 
schlusselungsaigorithmus mit entsprechenden Schlus- 
seln. 

[0007] In der Druckschrift EP 782 1 1 1 A2 wird. zur ge- 

15 genseittgen Authorisation von zwei Subsystemen mit 
Mikroprozessoren vorgeschlagen, zunachst in jedem 
Subsystem einen Sitzungsschlussel auf gteiche Welse 
zu generieren. mit dessen Hitfe eine Verschlusselung 
von variablen Daten zu einem Authentifikations Zertifi- 

20 Kat ermoglichl wird. Das jewetis andere Subsystem er- 
zeugt auf dteselbe Weise ebenfatis ein Authentifikations 
Zertlfikat und vergleicht beide Zertifikate zwecks Autho- 
risation. Die Verschlusselung erfolgt nach dem DES-AI- 
gorithmus jeweils mittels Mikroprozessor Jeder der bei- 

25 den Mikroprozessoren kann eine Uste an Authenticati- 
on Keys speichern, aus der er einen auswahlt. Mit einer 
zwelten Variable und einem ausgewahlten Authentica- 
tion Key erzeugt jedes Subsystem den Sitzungsschlus- 
sel nach einem Kryptoaigorithmus. Mit dem Sitzungs- 

30 schlussel und mit einer ersten Variable wird dann ein 
Authoriatk^nscode gema(3 einem Kryptoaigorithmus er- 
zeugt. Das Zertlfikat ergibt sich dann daraus durch Trun- 
cation. Fur die Authentifikatk>n des anderen Subsy- 
stems wird der glek^he Sitzungsschlussel aber eine an- 

35 dere dhtte Vahabte ven^^endet. 

[0008] Eine einseitige Authorisation des zweiten Sub- 
systems (print modul ^P) gegen uber dem ersten Sub- 
system (vault |iP) gemaO EP 782 1 1 3 A2 verwendet wie- 
der den Sitzungsschlussel und den gleichen Atgorith- 
mus, wobei nach Abrechnung im ersten Subsystem 
(vault ^P) ein Authentifikations Zertlfikat zum zweiten 
Subsystem (print mo6u\ \xP) gesendet und dort vehfi- 
ziert wird, indem dort auch auf gleiche Weise ein Au- 
thentifikations Zertlfikat erzeugt und gepruft wird, ob die 

^ Zertifikate ein bestimmtes Vemaltnis zueinander haben. 
[0009] Bel einem ahnlichen Verfahren, dem Chalenge 
& Response-Verfahren, werden statt dem vorgenann- 
ten ausgewahlten Authentication Key Zufattszahlen zur 
Erzeugung des Sitzungsschlussels venwendet. 

so [0010] Bei den vorgenannten Losungen muG bei der 
Schlusselgenerierung die Synchronitat gewahrt blei- 
ben, da sich anderenfalls beide Gerate (Subsysteme) 
nk;ht verstehen konncn, was dann als fehiende Autho- 
risatk>n interpretiert wird. 

55 [0011] Der Erfindung liegt die Aufgabe zugrunde, ein 
fur Frankiermaschinen geeignetes Verfahren zur siche- 
ren Schlusselverteilung zu entwickein, um eine Anzahl 
an Geraten mit einem gemelnsamen Schlussel auszu- 
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statten. ohne daB der Schlussel einer unbefugten Partei 
in die Hande fa lit. 

[0012] Die Aufgabe wird gemaG den Merkmalen des 
Anspruchs 1 gelost. 

[001 3] Die Erfindung geht von einem Sen/er aus. wel- 
cher als ein drittes Gerat die ersten und zweiten Gerate 
mit dem f Or den Schlussettausch erfordertichen gemein- 
samen geheimen Verschlusselungsschlussel ausstal- 
tel, wenn em solcher angefordert wird. Ebenso konnen 
mehrere Gerate eines Systems paanweise nnit einem 
gemeinsamen geheimen Verschlusselungsschlussel 
ausgestattet werden. 

[0014] Der Sen/er halt eine Anzahl zusammengeho- 
riger geratespezifischer MasterschlOssetn fur den Fall 
vorratig gespeichert. daB ein gemeinsamer geheimer 
Verschlusselungsschlussel angefordert wird. Einer der 
geratespezifischen Masierschlussel ist identisch mit ei- 
nem bei der Herstellung, vorzugsweise vor dem Zusam- 
menbau des ersten Gerates, im ersten Gerat gespei- 
cherten IS/lasterschlussel. Derandere geratespezifische 
Masterschlussel ist identisch mit einem im zweiten Ge- 
rat befindlichen Masterschlussel. Jedes der beiden Ge- 
rate ist damit in der Lege, nur eine fur das jeweilige Ge- 
rat bestimmte Nachricht zu entschlusseln. Es ist vorge- 
sehen, da5 die Nachricht einen geheimen ersten Ver- 
schlOsselungsschtussel in verschlusselter Form enthalt 
und nach der erstmaligen Inbetriebnahme eines aus 
beiden Geraten bestehenden Systems von einem der 
beiden Gerate angefordert wird. Vorzugsweise ist nur 
das Meter mit einem Modem ausgestattet. Somit eriolgt 
die Anforderung vom Meter an den Server eine solche 
Nachricht an das Meter zu senden. Die Nachricht ist 
zweiteilig entsprechend der beiden Gerate, die schnitl- 
steltenma3ig miteinander verbunden sind und kommu-^ 
nizieren soilen. 

[0015] Da Meter und Base schnittsteltenmafJig mit- 
einander verbunden sind. kann das Meter einen fur die 
Base bestimmten Nachrichtenteil weiterleiten. Ebenso 
konnen wettere zwei Gerate eines Systems mit einem 
gemeinsamen geheimen Schlussel durch Weiterleitung 
der Nachricht und deren geratespezifischen Entschlus- 
selung ausgestattet werden, wenn die Gerate schnitt- 
stetlenmafBig miteinander verbunden sind. 
[0016] Der Server empfangt die Anforderung. gene- 
riert den erforderlichen gemeinsamen Verschlusse- 
lungsschlussel und bildet die beiden Teile der Nachricht, 
entsprechend der Ideniitai der zu benachrichtigenden 
Gerate. Bei einen zweiteiligem System bestehend aus 
Meter und Base wird die zweiteilige Nachricht mit den 
Identizitatsdaten des Meters und der Base angefordert. 
Das Bilden jedes der Nachrichtenteile erfolgt mit dem 
der jeweiligen Identitat zugeordneten geratespezifi- 
schen Masterschlussel, weteher auch im entsprechen- 
den Gerat auslesesicher gespeichert vorliegt, fur das 
der Nachrichtenteil beslimmt ist. 
[0017] Nach dem Generieren des erforderlichen ge- 
meinsamen Verschlusselungsschlusseis und dem Bil- 
den der Teiie der Nachricht sowie dem Senden der 



Nachricht an das anfordernde Gerat wird der generierte 
gemeinsame Verschlussetungsschlussel im Arbeitspei- 
cherdes Sen/ers geloscht. Eine unmittelbare Kompro- 
mittierung eines bestehenden System ist somit unmog- 
s lich. weil auch bei einem unerlaubten Einblick in die Da- 
tenbank des Servers die gemeinsamen Schlussel nicht 
auffindbar sind. 

[0018] Nach dem Empfang der Nachricht im anfor- 
derndem Gerat wird der Nachrichtenteil weitergeleitet. 

10 welcher nicht fur das anfordernde Gerat bestimmt ist. 
Der nicht weitergeleitete Nachrichtenteil wird im anfor- 
derndem Gerat und der weitergeleitete Nachrichtenteil 
wird im anderen Gerat entschlusselt. Der gemeinsame 
Verschlusselungsschlussel wird auslesesicher in jedem 

15 Gerat gespeichert und steht nun fur einen geheimen 
Schlusselaustausch eines Sitzungsschlussels zur Ver- 
fugung. 

[0019] Wahrend der Herstellung der fur das System 
bestimmten Gerate werden sowohl im auslesesicherem 

20 Speicher des Gerates als auch m einer Datenbank des 
Servers die geratespezifischen Masterschlussel ausle- 
sesicher und die Identitatsdaten falschungssicher ge- 
speichert. Welche Gerate eines Systems als zusam- 
mengehbrig gelten. ist abhangig davon, welche gerate- 

2S spezifischen Identitatsdaten einander zugeordnet sind. 
Solche Zugehorigkeiten konnen von eine authorisierten 
Person in das Meter eingegeben bzw. beliebig erzeugt 
und gespeichert werden. Sie stehen fur den Fall zur Ver- 
fugung, daf3 eines der Gerate ausgewechselt Oder das 

30 System mit einem geeigneten Gerat erganzt werden 
soil. 

[0020] Ein ausgeliefertes Gerat enthalt in seinem 
durch ein Stcherheitsgehause gesicherten nichtfluchti- 
gem Speicher nur Identiftkatransdaten und den gegen- 

35 uber einem extemen Auslesen gesicherten spezifi- 
schen Masterschlussel gespeichert. Ein solches Gerat 
muf3te in der Regel zerstort werden, um an den spezi- 
fischen MasterschtOssel zu gelangen. welcher aber 
nicht zu irgendeinem anderem Gerat paBt. 

40 [0021] Beim Initialisieren der Gerate eines Systems 
konnte zwar mit einem konrpromittierten Masterschlus- 
sel die Ubermittlung des des gemeinsamen geheimen 
Verschlusselungsschlusseis aufgezetchnet und ent- 
schlusselt werden. Es sind aber weitere Vorkehrungen 

4S getroffen worden, um em eventuelles Abfangen und 
Verandern der Nachricht bzw. Ubermittein und Weiter- 
leiten emer f ruher aufgezeichneten Nachricht an die Ge- 
rate des Systems auch dann unwirksam zu machen, 
wenn die Gerate wiederholt mit einem gemeinsamen 

so geheimen Verschlusselungsschlussel ausgestattet 
werden. 

[0022] Ein Vorteil der Erfindung tiegt darin, daR die ge- 
meinsamen geheimen Verschlusselungsschlussel uber 
unsichere Kanale sicher geandert bzw. ausgewechselt 
55 werden konnen. Somit mussen die Verschlusselungs- 
schlussel nicht bereits ber der Herstellung des Gerates 
in einem zugehortgen Speicher des Gerat nichffluchtig 
gespeichert werden. 
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[0022] Durch eine begrenzte Gultigkert des gemein- 
samen geheimen Verschtusselungsschlussels wird ein 
eventueller Mif3brauch eines kompromittierten Systems 
auf kurze Zeitraume beschrankt. Selbst wenn durch 
Ausforschen des gemeinsamen geheimen Verschlus- 
selungsschlussels ein ganzes System kompromittiert 
ist. dann ware aber em anderes ganzes System dadurch 
noch nicht kompromittiert. 

[0024] Vorteilhafte Weiterbildungen der Erfindung 
sind in den UnieransprOchen gekennzeichnet bzw. wer- 
den nachstehend zusammen mil der Beschreibung der 
bevorzugten Ausfuhrung der Erfindung anhand der Fi- 
guren naher dargestellt. Es zeigen: 

Fig. 1 . Anordung zur Ausstattung von Speichern mit 
einem Masterschtussel. 

Fig. 2, Anordung von zwei Geraten eines Systems 
zu deren Initialtsterung mtttels eines dritten 
Gerates. 

Fig. 3, Darstellung einer Initialtsierung von zwei Ge- 
raten des Systems, 

Fig. 4, Darstellung der Sitzungsschtusselverteilung 
auf zwei Gerate des Systems, 

Fig. 5, Details der Initialisierung von zwei Geraten 
des Systems 

[0025] Die Figur 1 zeigt eine Anordung zur Ausstat- 
tung von Spetchem zweier Gerate eines Systems zu de- 
ren Ausstattung mit etnem Masterschlussel durch ein 
drittes Gerat. Es ist vorgesehen, da3 die Speicher eine 
erste und zweite Partei A und 8 bilden. Die Speicher 
sind in eine an sich bekannte • nicht gezeigte - Vorrich- 
tung eingesetzt, die zum Ausstatten von Speichem mit 
Daten ausgebikilet ist und mit «trtem Server 34 in Ver- 
bindung steht. Der Server 34 iatiBestandteil einer gesi- 
cherten Schlussetverteilzentraie 30 und bildet eine be- 
teittgte dhtte Partei. Ein programmierfoarer nichtflDchti- 
ger Speicherbaustein ist t>eispielsweise ein EEPROM. 
Das Ausstatten ertolgt in einer gesicherten Umgebung 
50, 60 beim Hersteller der Gerate des Systems bzw. der 
Frankiereinrichtung, beisptelsweise durch Laden des 
unverschlusselten MasterschlQssels und Identifikati- 
onsdaten sowie gegebenenfalls weiteren Daten in die 
dafOr vorgesehenen Speicherbereiche bzw. durch ein 
Programmieren eines Speicherbausteines. Beim Laden 
erfolgt ein gesichertes Auslesen des unverschlusselten 
Masterschtussels aus einer Datenbank 31 des Sen/ers. 
Ein gesichertes Auslesen einer Datenbank 31 des Ser- 
vers 34 erfordert einen sicheren Kanal 36, beispietswei- 
se eine sichere Datenleitung 36 zwtschen der gesicher- 
ten Schlusselverteilzentrale 30 und den gesicherten 
Umgebungen 50 und 60. In gesicherter Umgebung 50, 
60 ist vorzugsweise ein handelsublk:hes Programmier- 
gerat zur Programmierung eines Speicherbausteines 



angeordnet. Das Programmiergerat ist mit entspre- 
chenden mit der sicheren Datenleitung 36 verbundenen 
Emptangsmrttein bzw. Eingabemittein ausgestattet. 
Beispielsweise soH ein EEPROM programmiert werden. 

[0026], Es ist in einer anderen \^riante vorgesehen, 
dafj der zu programmierende nichtflOchtige Speicher- 
baustein zuerst in das Gerat 10, 20 eingebaut und dann 
programmiert wird, wobei das Gerat 10, 20 selbst zur 
Programmierung ausgebildet ist. 
[0027] Das erste Gerat ist beispielsweise ein mit ei- 
nem Modem 15 ausgestattetes Meter 10, welches mit 
einem Modem 33 der Schlusselverteilzentrale uber die 
sichere Datenleitung 36 in Kommunikationsverbindung 
gebracht wird. Das Meter hat selbst keine D rue kein rich - 
tung sondem dient im Normalbetneb lediglich als gesi- 
cherie Buchungsetnrichtung. welche mit Ein- und Aus- 
gabemitteln gemeinsam in einem Sicherheitsgehause 
16 untergebrachl ist. FOrden Nomnaibetrieb kann exter- 
ne Druckeinnchlung uber einen ungesicherten Kanal, 
beispielsweise eine ungesicherte Datenleitung 23, an- 
geschtossen werden. Ein Meter kann ein Sk;herheits- 
nrKXiul mit einem Sk^hertieitsgehause enthalten. Das Si- 
cherheitsmodul enlhalt vorzugsweise einen OTP-Pro- 
zessor (one time programmable), eine Hardwareab- 
rechnungsschaltung und Speicher zur Speicherung der 
Abrechnungsdaten in Postregistern. Der OTP-Prozes- 
sor hat eine Datenverarbeitungs- und Spek:herkapazi- 
tat fur spezielle Anwendungen bzw. Sonde rmodi. Ein 
soteher Sondermodus zur Speicher-Programmierung 
kann naturlk;h nur vom Hersteller selbst, beispielsweise 
uber die Tastatur des Meters und/oder mittels einer spe- 
ziellen Masterchipkarte, eingestellt werden. Ein Block- 
schattbild fur ein Meter mit etnem Sicherheitsmodul, an 
welches der Drucker an geschtossen ist, geht beispiels- 
weise aus der Europaischen Patentanmeldung EP 789 
333 A2 hervor. Altemativ kann ein Personalcomputer 
ein Modem und das Sicherheitsmodul mit dem Sicher- 
heitsgehause enthalten. Eine solche Losung wird naher 
dargestellt. in der nicht vorveroffentlichten Deutschen 
Patentanmeldung 197 11 998.0 mit dem Titel: Postver- 
arbeitungssystem mit einer uber Personak:omputer ge- 
steuerten druckenden Maschinen-Basisstation. 
[0028] Das zweite Gerate ist vorzugsweise em in ge- 
sicherter Umgebung 60 angeordnetes handetsubtiches 
Programmiergerat zur Programmierung eines EE- 
PROMs. wobei das EEPROM beispielsweise fur einen 
Druckkopf vorgesehen ist Das zweite Gerat kann atter- 
nativ auch ein Drucker 20 sein, in wetehen der Druck- 
kopf eingesetzt wird, weteher mit der Fahigkeit zur Pro- 
grammierung eines E PROMs ausgestattet ist. 
[0029] Fur jedes der ersten und zweiten Gerate wird 
also zunachst nur ein geratespezifischer geheimer Ma- 
sterschlussel auslesegestchert in einem geeigneten 
Speicherbaustein nichffluchtig gespeichert. Der Spei- 
cherbaustein enthalt darOberhinaus auch Daten, die ei- 
ne Identifikation des Gerates ernr»6glichen, in welches 
er eingebaut werden soil bzw. ist. Der Spetcherbau- 
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stein kann weiterhin auch Parameterdaten enthalten, 
urn eine beslimmte Funklion des Gerales zu ermogli- 
chen. 

[0030] Zum Speichern des geratespezifischen gehei- 
men Masterschlussels werden die folgenden Schhtte 
ausgeluhrt: 

(I) Erzeugen mindestens zweier geratespezifischer 
Masterschlussel in einenn Schlusselgenerator 32 
einer sicheren Schlussetverteilzentrale 30 und 
Speicherung jedes der geratespezifischen Master- 
schlussel zugeordnet zu Identifikationsdaten ID-x 
des Gerates in einer vor einenn ungesicherten Aus- 
lesen geschutzten Datenbank 31 , so dafl fur jedes 
Gerat 10, 20,...,i0...., xO eines Systenns ein separa- 
ter Masterschlussel MKEK-t zur Verlugung steht, 
wobei die Datenbank 31 uber einen Server 34 der 
Schlusselveneilzemrale mit dem Schlusselgenera- 
tor 32 verbunden ist, 

(II) Ausstallen von Speichern der zu dem System 
gehorigen Gerate 10, 20...,iO..... xO mit dem zuge- 
horigem Masterschlussel MKEK-i wahrend der Her- 
steltung der Gerate. wobet das Ausstatten durch ein 
gesichertes Auslesen der Datenbank 31 des Ser- 
vers und Laden des Masterschlussels MKEK-i in ei- 
nen Speicher 11, 21...., i1,.... x1 des hergestellten 
uber Identifikationsdaten ID-i identifizierbaren Ge- 
rates 10, 20,.., iO,.... xO bzw. durch Programmieren 
des Speichers vor dem Zusammenbau des Gera- 
tesystems erfolgt, sowie 

(III) Verbinden der Gerate 10. 20..., iO.... xO zu ei- 
nem System und Initialisierung der zum System 
verbundenen Gerate 10. 20,,., iO,..., xO, wobei je- 
weils zweider Gerate 10, 20,.., iO,.„ xO. wetehe mit- 
einander kommuntzieren sollen (zum Beispiel im 
Normalbetrieb), miteinem geheimen gemeinsamen 
Verschlusselungsschlussel KEK ausgestattet wer- 
den. 

[0031] tn der Fig.2 ist eine Anordung von zwei Gera- 
ten eines Systems zu deren Initialisierung mittels eines 
dritten Gerates dargesteltt. Die zu ubermittelnden Daten 
werden vom Server 34 der Schlussetverteilzentrale 30 
verschlussett und uber Modem 35, eine ungesicherte 
Leitung 37 und uber ein Modem 15 an ein erstes Gerat 
10 gesendet. in das ersie Gerat 10 ist der durch ein Si- 
cherheitsgehause 1 6 gesicherte Speicher ii eingebaut. 
Im Sicherheitsgehause 16 sind auRerdem eine Dalen- 
verarbeitungseinheit, vorzugsweise ein OTP-Prozessor 
14. und eine Schntttstelle 12 angeordnet, und miteinan- 
der und mit dem Speicher 11 schaltungsmaOtg verbun- 
den. 

Uber die Schnittsteite 12 und einer zweiten ungeswher- 
ten Leitung 23 ist das erste Gerat 10 mit einer Schnitt- 
steite 22 des zweiten Gerates 20 verbunden. In das 
zweite Gerat 20 ist der durch ein Sicherheitsgehause 
26 gesicherte Speicher 21 eingebaut. Im Sicherheitsge- 
hause 26 sind aufJerdem eine Datenverarbeitungsein- 
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heit. vorzugsweise ein OTP-Prozessor 24, und die 
Schnittstelle 22 angeordnet. und miteinander und mit 
dem Speicher 21 schaltungsma(3ig verbunden. Diespe- 
zielle Datenverarbeitungs- und Speicherkapazitat ist fur 

s solche Anwendungen, wie die Kommunikation zwi- 
schen Kommunikationspartner ausgebildet und er- 
steckt sich auch auf besondere Funktionen bzw. Son- 
dermodi. Ein solcher Sondermodus zur Speicher-Pro- 
grammierung wird bei der erstmaligen bzw. bei einer er- 

10 neuten Initialisierung eines Systems mit den selben 
Oder anderen ausgetauschen Geraten eingestellt. 
Die gesicherten Speicher 11,21 enthalten herstellerma- 
6ig zunachst nur Identifikationsdaten und den gerate- 
spezifischen Masterschlussel. Die an das zweite Gerat 

15 20 zu ubermittelnden Daten werden vom Server 34 der 
Schlussetverteilzentrale 30 mit dem Masterschlussel 
verschlussett und uber Modem 35. den ungesicherten 
Kanal (z.B. eine Leitung 37) und uber ein Modem 15 an 
ein erstes Gerat 1 0 gesendet und dann zum zweiten Ge- 

20 rat 20 weitergeleitet. Die verschlusselt ubermitietten Da- 
ten konnen mit dem Masterschlussel entschlusselt wer- 
den und betreffen einen wetteren vom Schlusselgene- 
rator 32 erzeugten Verschlusselungsschlussel KEK. 
[0032] Die Fig. 3 zeigt eine Darstellung der Initialisie- 

25 rung von zwei Geraten des Systems, wobei letztere zu- 
satzlich mit einem gemeinsamen geheimen Verschlus- 
selungsschlussel KEK ausgestattet werden. Beim Vor- 
gang des Ausstattens sind drei Parteten A, B und C be- 
teiligt. Im Einzelnen sind fotgende Schritte vorgesehen. 

30 

(1) Anfordem einer Nachricht M einschlieBlich der 
Ubermittlung zweier Identifikationsdaten ID- A. ID- 
B zweier Kommunikationspartner A. 8 an den Ser- 
ver 34, wobei das Anfordem von einem der Gerate 

55 1 0, 20, ... iO xO nach dem Zusammenbau des Ge- 

ratesystenr^ bei Inbetnebnahme des Systems wah- 
rend einer Kommunikationsverbindung mit dem 
Sen/er erfolgt. 

(2) Generieren eines gemeinsamen geheimen Ver- 
40 schlusselungsschlussels KEK durch einen Key-Ge- 
nerator 32 des Servers 34 und Bilden von Teilen 
M1, M2 der Nachricht M im Server 34 fur die zwei 
Kommunikationspartner A, B entsprechend zweier 
benachbarter Gerate. wobei das Biklen jedes der 

45 Nachrichtenteile mit dem jeweiligen geratespezifi- 
schen MasierschlOssel ertotgt, welcher sowohl in 
der Datenbank 31 des Servers 34 ats auch im ent- 
sprechenden Gerat auslesesicher gespeichert vor- 
liegt. fur welches der Nachrichtenteil bestimmt ist. 

so (3) Senden der Nachricht M an das anfordernde 
Gerat 10, 

(4) Empfangen der Nachricht im anforderndem Ge- 
rat und Weiterleiten mindestens eines Nachrichten- 
teits M2. welcher nicht fur das anfordernde Gerat 
ss 10 bestimmt ist, ^, 

(5a) Entschlussein eines ersten Nachrichtenteils 
Ml im anfordernden Gerat 10 und Speichern des 
entschlusselten gemeinsamen geheimen Ver- 
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schlusselungsschlussels KEK auslesesicher in 
Speicher 11 des anfordernden Gerats 10, sowie 
(5b) Entschlussein des weitergeleiteten Nachrich- 
tenteils M2 mindestens in einem anderen Gerat 20 
und Spetchern des entschlusselten gemeinsamen 
geheimen Verschlusselungsschlussels KEK ausle- 
sesicher im Speicher 21 des anderen Gerats 20. 

[0033] Die Fig.4 zeigt eine Darstellung des Verteilens 
von Sitzungsschlussein auf zwei Gerate des Systems. 
Beim Vorgang des Verteilens sind nur zwei Parteien A. 
B beteiligt. Im Ergebnis des Verteilens sind in jedem der 
ersten und zweiten Gerate dann zusatzlich neben dem 
Verschlusselungsschlussel KEK und dem geratespezi- 
fischen geheimen MasterschlOssel MKEK-x auch ein 
Sitzungsschlussel SK auslesegestchert in einem Spei- 
cher ntchffluchtig gespeichert. 
[0034] Ein erstes Gerat kann auch ein PSD (Postage 
Security Device) fur einen Computer und ein zweites 
Gerat kann eine Base, insbesondere ein mit entspre- 
chender Elektronik ausgerusteter Druckkopf Oder ein 
Drucker sein, welcher nicht physisch mit dem Meter 
Oder PSD verbunden ist. Die Ober eine ungesicherte 
Leitung zu ubermittelnden Daten werden mit dem Sit- 
zungsschlussel SK verschlussett. 
[003fi] Ern Sitzungsschlusse) ist derjenige Schlussel, 
mit welchen diejenigen Daten verschlusselt werden, 
wefche wahrend des normalen Betrlebes zwischen den 
beteiligten Parteinen A. B ausgetauscht werden. Vor je- 
der Datenubertragung zwischen den betden Geraten 10 
und 20 soil der Sitzungsschlussel gewechsett werden, 
mit welchen Daten verschlusselt werden, so da3 pro 
DruckbikJ ein neuer Sitzungsschlussel venvendet wird. 
Der zu wechselnde Sitzungsschlussel SK wird in einem 
der betden Gerate gerteriert und dem jeweils anderem 
Gerat in verschlussetter Form ubermittett. Der aktuell 
gultige gemeinsame geheime Verschlusselungsschlus- 
sel KEK wird ausschlieBlich zum Verschlussein von sol- 
chen Sitzungsschlussein SK venArendet wek^he ge- 
wechsett werden. Dabei werden folgende weitere 
Schritte durchlaufen: 

(6) Erzeugen eines Srtungsschtussels SK zum Da- 
tentausch zwischen den Geraten und nichffluchti- 
ges Speichem des Situngsschlussels SK im Spei- 
cher des jeweils einen Gerates 

(7) Verschlusselung mit dem geheimen Verschlus- 
selungsschlussel KEK zu einer dritten Nachricht 

Ma 

(9) Senden der dritten Nachrrcht M3 an das jeweils 
andere Gerat, 

(9) Entschlusselung der dritten Nachricht M3 mit 
dem geheimen Verschlusselungsschlussel KEK 
und nichffluchtiges Speichern des Situngsschlus- 
sels SK im Speicher des jeweils anderen Gerates. 

[0036] Der geheime Schlusseltausch von Sitzungs- 
schlussein SK ist an sich aus EP 782 111 A2 bekannt 



Das Meter erzeugt vor jeder Datenubertragung einen 
Sitzungsschlussel. mit welchen Daten verschlusselt 
werden sollen. Neu ist, daf3 das Meter den Sitzungs- 
schlussel zum jeweils beteiligten anderen Gerat in ver- 

5 schlusselter Form ubertragt. Zur Verschlusselung und 
Entschlusselung dient der gemeinsame Verschlusse- 
lungsschlOssel, welcher auslesesicher in jedem Gerat 
gespeichert vorliegi. Das jeweilige Gerat uberschreibt 
den gespercheren bisherigen Sitzungsschlussel mit 

10 dem neuen gultigen Sitzungsschlussel. Somit kann der- 
jenige Sitzungsschlussel gewechselt werden, mit wel- 
chen Daten verschlusselt werden konnen, die anschlie- 
Bend ubertragen werden. 

[0037] Es ist weiterhin vorgesehen, da(3 der Ver- 
'5 schlusselungsschlussel KEK gewechsett wird. Der Ver- 
schtussetungsschlussel kann gewechselt werden, in- 
dem die Anforderung der vorgenannten Nachncht M in 
Zeitabsianden vom anfordernden Gerat wiederholt 
wird. Die Gultigkeltsdauer der gemeinsamen geheimen 
20 Verschlusselungsschlussel kann somit auf ein Ma8 be- 
schrankt werden, so da3 eine Manipulatron in Fal- 
schungsabsichtauch bei Anwendungs modemster Me- 
thoden der Kryptoanalyse aussichtstos wird. 
[0038] Einer Verschlusselung zur Nachricht M kann 
2S eine Verkupfung des zu ubermittelnden Schlussels mit 
einer monoton stetig steigenden Oder fallertden GroGe 
vorausgehen. Die VerkOpfung des zu ubermittelnden 
Schlussels mit der monoton stetig steigenden oder fal- 
lenden GroRe erfolgt im Server vor einer Verschlus-se- 
30 lung zur Nachricht M und deren Ubermittlung Die mo- 
noton stetig steigende Oder fallende Gr63e liegt in je- 
dem im System beteiligtem Gerat ebenfalls gespeichert 
vor und es erfolgt ein Unterscheiden einer f ruher aufge- 
zeichneten Nachricht M' von einer neuen Nachricht M 
35 des Servers anhand dieser Gr65e. Vorzugsweise er- 
folgt eine XOR-Verkupfung des zu ubermittelnden 
Schlussels mit einer fortlaufenden Zaht vor der Ver- 
schlusselung. Ein eventuelles Abfangen und Verandem 
der Nachricht bzw. Ubermitteln und Weiterleiten einer 
40 f ruber aufgezeichneten Nachricht an die Gerate des Sy- 
stems ware damit ebenfalls ein erfolgloser Angriff. Die 
beteiligten Gerate konnen eine fruher aufgezeichneten 
Nachricht anharxj der nDonoton stetig steigenden oder 
fallenden Grbf5e direkt oder indirekt ermitteln. 
^ [0039] Ein Szenario fur einen Angritf durch eine vierte 
Partei D konnte darin bestehen, das der Angreifer die 
Kommunikation zwischen den Parteien A und C. d.h. 
Meter und Server, belauschl und die ausgetauschten 
Nachrrchten, insbesondere die Nachricht Mc vom Sever 
so zum Meter kopiert. Der Angreifer mietet Rechenzeit auf 
geeigneten schnetlen Computern und kompromittiert 
den gemeinsamen geheimen Verschlus-selungsschlus- 
sel KEK zwischen den Parteien A und B, d.h. Meter und 
Base. 

ss [0040] Sollte nun fur ein System eine neue Schlussel- 
verteilung benotigt werden, beispielsweise nach emeu- 
ter Initialisierungmit demselben Druckkopf im Ergebnis 
einer Reparatur der Base, dann bemerkt der Angreifer 
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das tnitialisieren aufgrund der vom Meter (Partet A) ab- 
gesendeten Anforderung eines KEK an den Server 
(Partei C). Die angreifende vierte Partei D spielt die ko- 
pierte Nachricht Mc ein. weiche den kompromittierten 
Verschlusselungsschiussel enthalt. Folglich ware der s 
Verschlusselungsschlussel auch weiterhin kompromit- 
tiert. 

[0041 ] Abhilfe schaff t ein erf indungsgemaGes Verlah- 
ren zur Erhohungder Sicherheit bei einer Schlusselver- 
teilung, daO eine fruher aufgezeichnete von einer vier- io 
ten Partei D eingespielten Nachricht M'von einer neuen 
Nachricht M der dritten Partei C. d.h. des Servers, un- 
terscheiden kann. 

[0042] Ein bevorzugtes Verfahren zur Erhohung der 
Sicherheit bei einer Schiusselverteilung mit einer siche- '5 
ren Schlusselverteilzentrale, wobei die Datenbank 31 
uber einen Server 34 mit dem Schlusselgenerator 32 
verbunden ist, geht wieder von den vorgenannten 
Schrrtten aus: 

20 

(I) Erzeugen mindestens zweier geratespezifischer 
Masterschlussel in einem Schlusselgenerator (32) 
einer sicheren Schtusselverteitzentrale. 

(II) Ausstatten von Speichern der zu dem System 
gehdrigen Gerate 10. 20,.., iO,..., xO mit dem zuge- 2S 
horigem Masterschlussel MKEK-i wahrend deren 
Herstellung, 

(III) Verbinden der Gerate 10. 20..., iO..... xO zu ei- 
nem System und inttialisierung der zum System 
verbundenen Gerate 10, 20. .. iO. ..,xO 30 

[0043] Die Fig.5 zeigt Details der Initialtsierung von 
zwei Geraten des Systems. Das bevorzugte Verfahren 
umfa3t die folgenden Schritte: 

3S 

(1) Anfofdern einer Nachricht M einschlieGlich der 
Obermrtttung zweier t dent if ikationsdaten IDA ID-B 
zweier Kommunikationspartner A. B an den Server 
34, wobei das Anfordern von einem der Gerate 10. 

20,.., tO xO nach dem Zusammenbau des Gera- "^o 

tesystems bei Inbetriebnahme des Systems wah- 
rend einer Kommunikationsverbindung mit dem 
Server ertolgt, 

(2) Generieren eines gemeinsamen geheimen Ver- 
schlusselungsschlussels KEK durch einen Key-Ge- ^5 
neratof 32 des Servers 34 und BikJen von Teilen 
SMI . SM2 der Nachricht M im Server 34 1 Or die zwei 
Kommunikationsparlner A, B entsprechend zweier 
benachbarter Gerate. wobei fur die Schlusserver- 
gabe des generierten geheimen Verschlusselungs- 50 
schlussels KEK hohere aktuelle Zahtstande CA. CB 
durch eine erste mathematische Funktion ermtttett 
werden, wobei fur die zwei Kommunikationspartner 

A, B aktuelle Mastersitzungsschtussel MSK-A, 
MSK-B durch Verknupfung der ermittelten aktuellen 55 
Zahlstande CA, CB mit dem jeweiligen geratespe- 
zifischen Masterschlussel MKEK-A. MKEK-B ge- 
mad einer zweiten malhematischen Funktion gene- 



riert werden, wobei der an die zwei Kommunikati- 
onspartner A. 8 zu vergebende Verschlusselungs- 
schiussel KEK mit dem generierten aktuellen Ma- 
siersitzungsschlussel MSK-A bzw. MSK-B ver- 
schlusselt wird und mit dem Zahlstand CA bzw. CB 
sowie mit einer Signatur SIGI bzw. SIG2 erganzt 
den jeweiligen Nachrichtenteil SMI bzw. SM2 bii- 
det, wobei die Signatur durch Anwendung einer drit- 
ten mathennatischen Funktion auf den jeweiligen 
Nachrichtenteil gebildet wird, 

(3) Ubermittein von Nachrichten M,N zwischen dem 
anfordernden Gerat und dem Server, wobei die aus 
den zwei Nachrichtenteilen SMI bzw. SM2 beste- 
hende erste Nachricht M an das anfordemde Gerat 
gesendet (3.1 ) und dort empfangen (3.2) wird oder 
anderenfalls die die Nachrichtenubermittlung wie- 
derholt wird, wobei im anfordemdem Gerat em er- 
warteter Zahlstand CA'fOrden SchlQsseltausch ge- 
neriert wird und die empfangene erste Nachricht M 
bezuglich des Zahlslandes CA desjenigen Nach- 
richtenteils SMI ausgewertet wird. der das anfor- 
demde Gerat betrifft, wobei eine erste Ruckmelde- 
nachricht N1 gebildet und zum Server zuruckge- 
sendet (3.3) wird. urn den Empfang des ersten 
Nachrichtenteils SMI der ersten Nachricht M zu be- 
statigen. falls der ausgewertete Zahlstand CA nicht 
kleiner ist, als der im anforderndem Gerat generier- 
te erwartete Zahlstand CA*. 

(4) Ubermittein mit Weiterleiten (4.1 ) mindestens ei- 
nes Nachrichtenteils SM2. weicher fur den Kommu- 
nikatbnspartner B des anforderrxjen Gerates be* 
stimmt ist. wobei im im anderen Gerat, das der 
Kommunikationspartner B ist. ein erwarteter Zahl- 
stand CB' fur den SchlQsseltausch generiert wird 
und wobei der Nachrk;htenteil SM2 bezugtich des 
Zahtstandes CB ausgewertet wird, der den Kommu- 
nikatkjnspartner B betrifft. wobei im Ergebnis des 
Auswertens (4.2) eine zweite Ruckmeldenachricht 
N2 gebiklet. zum anfordernden Gerat ubermittelt 
(4.3) und uber das anfordernde Gerat zum Server 
zuruckgesendet (4.4) wird, um den Empfang des 
zweiten Nachrichtenteils SM2 der ersten Nachricht 
M zu bestatigen, falls der ausgewertete Zahlstand 
CB nicht Kleiner ist, als der im anderen Gerat gene- 
rierte erwartete Zahlstand CS*. 

(5a) Generieren eines neuen aktuellen Mastersit- 
zungsschlussels MSK-A' analog des aktuellen Ma- 
stersilzungsschlussels MSK-A und Entschlussein 
eines ersten Nachrichtenteils SMI im anfordernden 
Gerat mittels des generierten neuen Mastersit- 
zungsschlussels MSK-A'. um den Verschlusse- 
iungsschlussel KEK zu ermittein, wobei eine Ver- 
gleichssignatur SIGI ' zum Verifizieren gebildet wird 
und das Venfizieren des ersten Nachrichtenteils 
SMI mittels der ubermitteften ersten Signatur SIGI 
ertolgt, sowie Spechem des entschlussetten ge- 
meinsamen geheimen Verschlussetungsschlussels 
KEK ausiesesicher im Speicher des anfordernden 
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Gerates. wenn der Verschlusselungsschlussel KEK 
gultig ist oder Abbrechen der Operation, wenn er 
ungultig tst. und 

{5b) Generieren eines neuen aktuellen Mastersit- 
zungsschlussels MSK-B' analog des aktuellen Ma- 
stersitzungsschlussels MSK-B fur das andere Ge- 
rat und Entschlussein eines zweiten Nachrichten- 
teils SM2 tnn anderen Gerat mittels des generierten 
neuen Mastersitzungsschlussels MSK-B', urn den 
Verschlusselungsschlussel KEK zu ernnitteln. wo- 
bei eine Vergleichssignatur SIG2* zum Verifizieren 
gebildet wird und das Verifizieren des zweiten 
Nachrichtenteiis StA2 mittels der ubenmittelten er- 
sten Signatur SIG2 erfolgt. sowie Speichern des 
entschlusselten gemeinsamen geheimen Ver- 
schlusselungsschlussels KEK ausleseslcher im 
Speicher des anderen Gerates. wenn der Ver- 
schlusselungsschlussel KEK guttig ist Oder Abbre- 
chen der Operation, wenn er ungultig ist. 

[0044] Als erste mathennatische Funktion. um hohere 
aktuetle Zahlstande CA, CB zu biiden, eignet sich ein 
Inkrennentieren, beispielsweise gennaO der Fornnel (1): 

CA =: CA + 1 bzw. CB =: CB + 1 (1) 

[0045] Naturlich kann auch eine andere Funklk>n zur 
Bildung einer monoton stetig steigenden Gr66e verwen- 
det werden. um hohere aktuelle Zahlstande zu bikJen. 
[0046] Als zweite nnathenaatische Funktbn eignet 
sich eine XOR- Verknupfung. Es ist vorgesehen. da6 fur 
die zwei Kommunikationspartner A, B aktuelle Master- 
sitzungsschlussel MSK-A, fWISK-Bdurch XOR- Verknup- 
fung der ermitietten aktuellen Zahlstande CA, CB mit 
dem jeweiligen geratespezifischen Masterschlussel 
MKEK-A, MKEK-B generiert werden. 
[0047] Die Signatur wird durch Anwendung einer drit- 
ten nnathennatischen Funkton auf den jeweiligen Nach- 
richtenteil nach den Formein (2), (3): 

SIG1 r ENCRYPT(F{M1),KEK), (2) 

mil Ml = ENCRYPT(MK-A. KEK).CA bzw. 

SIG2 = ENCRYPT(F{M2}.KEK). (3) 

mil M2 = EI^RYPT(MK-B, KEK).CB gebikjet. 
Als Verschlusselungsalgorithmus ENCRYPT eignet sich 
beispielsweise der Data Encryption Standard |OES). Die 
Funktion F begrerutdie Datenlangeder zu verschlusseln- 
den Mitteilung M1, M2. Beispielsweise kann eine an sk:h 
bekannte Truncatkyis-Vorschrift zur Kurzung verwendet 
werden. Der KEK ist der Schlusselfurdie DES-Verschlus- 
selung der gekurzten Mrtteilurtg. wobei die gekurzte Mfl- 
teilung nur 64 Bit lang sein dart. Vorteilhatt kann ein mo- 
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difizierterCBC-f^us zur Kurzung der Mitteilung Ml M2 
venA^endet werden. wobei im Unterschied zum CBC-Mo- 
dus nur ein zuletzt gebildetes verschlusseltes Datenwort 
als digitale Signatur verwendet wird. Die Kurzung Kur- 
5 zung der Mitteilung auf 64 Bit erfolgt durch Unterteilung 

der Mitteilung In Gruppen G1 G2, G3 Gn von jeweils 

8 Byte. Die Gruppe G1 wird zuerst mit dem KEK nach 
dem DES-Algorithmus verschlusselt zu einem Datenwort 
SO von 64 Bit Lange. Das Datenwort SO wird mit der zwei- 
10 ten Gruppe G2 mittets der XOR-FunktKXi verknupft und 
dann mit dem KEK nach dem DES-Algorithmus ver- 
schlusselt zu einem Datenwort Si von 64 Bit Lange Das 
Datenwort SI wird mit der dritten Gruppe G3 mittels der 
XOR-Funktkyi verknupft und dann mit dem KEK nach 
dem DES-Algorithmus verschlussett zu einem Datenwort 
S2 von 64 Bit Lange. Das letzte nach dieser Bildungsvor- 
schrift entstehende Datenwort Sn-1 hat wiederum eine 
Lange von 64 Bit und dient als Signatur. 
[0048] Vorteilhatt erfolgt ein Generieren etnes neuen 
aktuellen Mastersitzungsschlussels (MSK-A' bzw. 
MSK-B') und das Verifizieren in den beteitigten beiden 
Geraten erst nach dem erfolgreichen Auswerten im an- 
deren Gerat (Schritt 4.2) und wenn eine zweite Ruck- 
meldenachrrcht (N2) gebikjet und ubermittett wurde. 
Diese aufwendige Generierung und das Verifizieren 
bleibt somrt auf die Falle einer fehter- und manipulati- 
onsfreien Ubermittlung der Nachricht M beschrankt. 
Nach dem Empfang bekJer ROckmeldenachrichten wird 
bei Erfolg die Ubertragung beendet und die Verbindung 
unterbrochen Anderenfalls. im Fehlerfalt. wird der Zah- 
lerstand resynchronisiert. indem der Server den Zahler 
auf einen in der RuckmekJenachricht mitgeteilten Zah- 
lerstand des die ROckmeldenachrk:ht sendenden Gera- 
tes setzt. 

[0049] Eine andere Mogltchkeit die Sicherheit vor ei- 
nem Angriff zu erhohen beruht auf einer Verwendung 
des vorgenannten geheimen Schlusselverteilverfah- 
rens zum geheimen Schlusseltausch einer Vielzahl 
(Satz) an gemeinsamen geheimen Verschlusselungs- 
schlOsseln. Letzlere sind nur fur bestimmte Zeitperiode 
Oder nur fur eine bestimmte Anzahi an Schlusseltau- 
schen von Sitzungsschlussein SK gultig. Die Anwen- 
dung des vorgenannten geheimen Schlusselverteitver- 
fahrens kann dann bereits beim Hersteller oder einer 
geeigneten anderen Stelle erfolgen, welche einen An- 
griff auf die Schlussetsichertieit ausschlie3t oder mln- 
destens wesentllch einschrankt. 
[0050] Die Vielzahl an gemeinsanhen geheimen Ver- 
schlusselungsschlussein kann in einer vorbestimmten 
Reihenfolge mit jeweiis zugeordnetem Gultigkeitskrite- 
rium vorteilhatt in Form einer Liste in den betreffenden 
Geraten gespeichert werden. Somit erfolgt nun eine Ge- 
nerierung eines Sitzungsschlussels SK in einem der 
Gerate des Systems entfernt von der Schlusselverteil- 
zentrale 30 und einen Zugriff auf den gespeicherten ak- 
tueli guttigen gemeinsamen geheimen Verschlusse- 
lungsschlussels KEK im Falle eines geheimen Schlus- 
seltausches von Sitzungsschlussein SK zwischen den 
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Geraten des Systems wobei der vorgenannte Ver- 
schlusselungsschlussels KEK nur nur einen bestimm- 
ten Zeitperiode Oder lur eine bestimmte Anzahl an 
Schlussettauschen von Sitzungsschlussein SK gultig 
tst. 5 
[0051] Es kann auch eine Liste fur mehrere Kommu- 
nikationspartner gesoeichert werden, wobei die Liste fur 
jeweils zwei Konnmunikationspartner einen aktuell gul- 
tigen genneinsamen geheimen Verschlusselungs- 
schlussel aufweist. 

[0052] Die Erfindung ist nicht auf die vorliegenden 
AusfOhfLingsfornn beschrankt. da offensichtlich weitere 
andere Ausf uhrungen der Erfindung entwickelt bzw. etn- 
gesetzt werden konnen. die vonn gleichen Grundgedan- 
ken der Erfindung ausgehend. die von den aniiegenden is 
Anspruchen urrtfaftt werden. 
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1. Verlahren zur sicheren SchtOsselverteilung mit ei- 
ner sicheren Schlusselverteilzentrale, gekenn- 
zeichnet durch die folgenden Schritte: 

(I) Erzeugen mindestens zweier geratespezifi- 
scher Masterschlussel in einer sicheren 
Schlusselverteitzentrale (30), 
(It) Ausstatten von Speichem von Geraten (iO). 
die zu einem Systenn gehoren, mit dem zuge- 
horigem Masterschlussel (MKEK-i). wahrend 
der Herstellung der Gerate in einem gesicher- 
ten Bereich (50. 60). 

(Ill) Verbinden der Gerate (10. 20,... iO xO) 

zu einem System und Initialisierung der zum 
System vert>undenen Gerate (10, 20..., iO,..., 
xO) Ober einen ungesicherten Kanal (37) mit 
Generlerung, verschlusselter Ubermittlung von 
der sicheren Schlusselverteilzentrale (30) und 
nichfflOchtiges Speichem etnes entschlussel- 
ten gemeinsamen geheimen Verschlusse- 
lungsschlDssels (KEK) auslesesicher in den 
Speichern der Gerate des Systems, wobei je- 
weils zwei der Gerate (10, 20..., iO...., xO), wet- 
che mitetnander kommunizieren sollen, mit ei- 
nem geheimen gemeinsamen Verschlusse- 
lungsschlOssel (KEK) ausgestattet werden. 

2. Verfahren. nach Anspruch 1, gekennzeichnet 
durch die folgenden Schritte: 

(!) Erzeugen mindestens zweier geratespezifi- 
scher Masterschlussel in einem SchlOsselge- 
nerator (32) einer sicheren Schlusselverteil- 
zentrale (30) und Speicherung jedes der gera- 
tespezifischen Masterschlussel zugeordnet zu 
Identifikationsdaten ID-x des Gerates in einer 
vor einem ungesicherten Auslesen geschulz- 
ten Datenbank (31 ), so daf3 fur jedes Gerat ( 1 0. 



20 iO xO) eines Systems ein separator 

fvlasterschlussel (MKEK-i) zur VerlOgung steht, 
wobei die Datenbank (31) Ober einen Server 
(34) der Schlusselverteilzentrale (30) mit dem 
Schlusselgenerator (32) verbunden ist, 

(II) Ausstatten von Speichern der zu dem Sy- 
stem gehorigen Gerate (10. 20,. JO xO) mit 

dem zugehorigem Masterschlussel (MKEK-i) 
wahrend der Herstellung der Gerate. wobei das 
Ausstatten durch ein gesichertes Auslesen der 
Datenbank (31 ) des Servers und Laden des 
f^sterschlussels (MKEK-i) in einen Speicher 

(11, 21 i1..... x1) des hergestellten Ober 

Identifikationsdaten ID-i identifizierbaren Gera- 
tes (10. 20.... iO,.. , xO) bzw. durch Programmie- 
ren des Speichers vor dem Zusammenbau des 
Geratesystems eriotgt, 

(III) Verbinden der Gerate (10, 20.... 10..... xO) 
zu einem System und Initialisierung der zum 

System verbundenen Gerate (10, 20, .. lO 

xO) mit 



(1) Anfordem einer Nachricht (M) ein- 
schlief3lich der Ubermittlung zweier Identi- 

?5 fikationsdaten (ID- A. ID-B) zweier Kommu- 

nikationspartner (A. B) an den Server (34). 
wobei das Anfordern vort einem der Gerate 
(10, 20,.., iO,..., xO) nach dem Zusammen- 
bau des Geratesystems bei tnbetriebnah- 
30 me des Systems wahrend einer Kommuni- 

kationsverbtndung mit dem Server erfolgt. 

(2) Generieren eines gemeinsamen gehei- 
men Verschlusselungsschlussels (KEK) 
durch einen Key-Generator (32) des Ser- 

35 vers (34) und Bilden von Teiien (Ml . M2) 

der Nachricht (M) im Server (34) fur die 
zwei Kommunikationspartner (A. B) ent- 
sprechend zweier benachbarter Gerate. 
wobei das Bilden jedes der Nachrichtentei- 
40 le mit dem jeweiligen geratespezifischen 

Masterschlussel ertolgt. wek:her sowohl in 
der Datenbank (31) des Servers (34) als 
auch im entsprechenden Gerat auslesesi- 
cher gespeichert vorliegt. fur welches der 
45 Nachrichtenteil bestimmt ist. 

(3) Senden der Nachricht (M) an das an- 
fordernde Gerat ( 1 0), 

(4) Empfangen der Nachricht im anfordern- 
dem Gerat und Weiterleiten mindestens ei- 

so nes Nachrichtenteils (M2), welcher nicht 

fur das anfordernde Gerat (10) bestimmt 
tst. 

(5a) Entschlussein eines ersten Nachrich- 
tenteils (Ml) im anfordemden Gerat (10) 
55 und Speichem des entschlusselten ge- 

meinsamen geheimen Verschlusselungs- 
schlussels (KEK) auslesesicher im Spei- 
cher (11) des anfordernden Gerats (10). 
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3. 



sowie 

(5b) Entschlussein des weitergeleiteten 
Nachrichtenteils (M2) mindestens in einem 
anderen Gerat (20) und Speichern des ent- 
schlusselten gemeinsamen geheimen Ver- 
schtusselungsschlussels (KEK) auslesesi- 
cher im Speicher (21 ) des anderen Gerats 
(20). 

Veflahren, nach Anspruch 2, dadurch gekenn- 
zeichnet - daB ein gesichertes Auslesen der Da- 
tenbank (31 ) des Servers uber eine gesicherte Lei- 
tung (36) und ein Laden des Masterschtussels 

(MKEK-i) in einen Speicher (11, 21 x1) des her- 

gestellten Gerates (10, 20,.., xO) vor 6err\ Zusann- 
menbau des Geratesystems in einer vor Manipula- 
tion gesicherten Umgebung des Herstelles ertolgt 
und - dafi ein Inrtialisleren der Gerate des Systems 
erfolgt, wobei nach einem Senden der Nachricht 
(M) an das anfordemde Gerat (10. 20 oder xO) uber 
einen ungesicherten Kanal (37) ein Loschen des 
generierten genneinsamen Verschlusselungs- 
schlussels (KEK) im Arbeitsspeicher des Servers 
(34) nur dann erfolgt, wenn die Nachricht an das 
anfordemde Gerat abgesendet v/urde 

Vertahren, nach Anspruch 3, gekennzeichnet 

durch Gine Verkupfung des zu ubermittelnden ge- 
meinsamen Verschiusselungsschlussels (KEK) mit 
einer monoton stetig steigenden oder fallenden 
GroGe im Server vor einer Verschlusselung zur 
Nachricht 1^ und deren Ubermittlung. wobei die mo- 
noton stetig stetgende oder fallende Gr63e in jedem 
im System beteiligtem Geral ebenfalls gespeichert 
vorliegt und durch ein Unterscheiden einer fruher 
aufgezeichneten Nachricht M' von einer neuen 
Nachricht M des Servers anhand dieser GroBe. 

Verlahren, nach Anspruch 4. gekennzeichnet da- 
durch, da Q die vorgenannte GroGe ein Zahistand 
eines Zahlers ist. 



6. 



7. 



(KEK) im Falle eines geheimen Schlussettausches 
von Sitzungsschlussein (SK) zwischen den Gera- 
ten des Systems, wobei der vorgenannte Ver- 
schiusselungsschlussels KEK nur nur einen be- 
stimmten Zeitperiode oder fur eine bestimmte An- 
zahl an Schlusseltauschen von Sitzungsschlussein 
SK gultig ist. 



Verfahren, nach Anspruch 5. 
durch 



gekennzeichnet 



2S 



30 



3S 



40 



Verlahren, nach Anspruch 4, gekennzeichnet da- 
durch, daG der Verschlussetungsschlussel (KEK) 
gewechselt wird. 

Verlahren, nach Anspruch 6, gekennzeichnet da- 
durch, daft der Verschtusselungsschtussel gewech- 
selt wird, indem die Anforderung der vorgenannten 
Nachricht M in Zeitabstanden vom anfordemden so 
Gerat wiedeittolt wird. 



Vertahren, nach Anspruch 2. gekennzeichnet 
durch eine Generierung eines Sitzungsschlussels 
(SK) in einem der Gerate des Systems entfemt von 
der SchlOsselverteilzentrale (30) und durch einen 
Zugriff auf den gespeicherten aktuell gultigen ge- 
meinsamen geheimen Verschiusselungsschlussels 



55 



(6) Erzeugen eines Situngsschlusseis SK zum 
Datentausch zwischen den Geraten und 
nichffluchtiges Speichern des Situngsschlus- 
seis SK im Speicho' des jeweils einen Gerates. 

(7) Verschiusseiu : -nit dem geheimen Ver- 
schlusselungsscr KEK zu einer dntten 
Nachricht I\/I3. 

(8) Senden der dritto lachricht 1^3 an das je- 
weils andere Gerat, 

(9) EntschlOsselung der dritten Nachricht M3 
mit dem geheimen Verschlusselungsschlussel 
KEK und nichffluchtiges Speichern des Si- 
tungsschlusseis SK im Speicher des jeweils 
anderen Gerates. 

10. Verfahren, nach den Anspruchen 1 bis 3. gekenn- 
zeichnet durch die folgenden Schritte: 

(I) Erzeugen mindestens zweier geratespezifi- 
scher IS^asterschlussel in einem Schlusselge- 
nerator (32) einer sicheren SchlOsselverteil- 
zentrale (30) und Speicherung jedes der gera- 
tespezifischen Masterschlussel zugeordnet zu 
Identffikationsdaten ID-i des Gerates in einer 
vor einem ungesicherten Auslesen geschutz- 
ten Datenbank (31). sodaG em fur jedes Gerat 
(10, 20,..., iO.. ., xO) eines Systems ein separa- 
ter fWlasterschlussel (IWIKEK-i) zur VeriOgung 
steht. wobei die Datenbank (31) uber einen 
Server (34) der SchlOsselverteilzentrale (30) 
mit dem SchlOsselgenerator (32) verbunden 
ist, 

(II) Ausstatten von Speichern der zu dem Sy- 
stem gehongen Gerate (10, 20...,iO,. ., xO) mit 
dem zugehorigem Masterschlussel (MKEK-i) 
wahrend der Herstellung der Gerate, wobei das 
Ausstatten durch ein gesichertes Auslesen der 
Datenbank (31) des Servers und Laden des 
Masterschlussels (MKEK-i) in einen Speicher 
(11. 21,.... i1..... x1) des hergesteltten uber 
Identifikationsdaten ID-i identifizierbaren Gera- 
tes (10, 20,... iO,..., xO) bzw. durch Programmie- 
ren des Spetchers vor dem Zusammenbau des 
Geratesystems ertolgt. 

(III) Verbinden der Gerate (10. 20. .. iO, ... xO) 
zu einem System und Initialisierung der zum 
System verbundenen Gerate (10. 20, . lO, . 
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mil 

(1) Anfordern einer Nachricht (M) ein- 
schlieGlich der Ubermittlung zweier Identi- 
fikationsdaten (ID-A. ID-B) zweier Kommu- s 
nikationspartner (A, B) an den Server (34), 
wobei das Anfordern von einem derGerate 

(10. 20.... iO xO) nach dem Zusammen- 

bau des Geratesystems bei Inbetriebnah- 

me des Systems wahrend einer Kommuni- io 
kationsverbindung mit dem Server erfolgt, 

(2) Generieren eines gemeinsamen gehei- 
men Verschiusselungsschlussels (KEK) 
durch einen Key-Generator (32) des Ser- 
vers (34) und Bilden von Teilen (SMI. '5 
SM2) der Nachricht (M) Im Server (34) fur 

die zwei Kommunikationspartner (A. B) 
entsprechend zweier benachbarter Gera- 
te, wobei fur die SchlOsselvergabe des ge- 
nerierten geheimen Verschlusselungs- 
schlussels (KEK) hohere aktuelte Zaht- 
stande (CA, CB) durch eine erste mathe- 
matische Funktion ermittelt werden. wobei 
fur die zwei Kommunikationspartner (A, B) 
aktuelle MastersitzungsschlOssel (MSK-A, 2S 
MSK-B) durch VerknOpfung der ermittelten 
aktuellen Zahtstande (CA, CB) mit dem je- 
weiligen geratespezifischen Masterschlus- 
sel (MKEK-A. MKEK-B) gemaB einer zwei- 
ten mathematischen Funktion generiert 30 
werden. wobei der an die zwei Kommuni- 
kationspartner (A. B) zu vergebende Ver- 
schlusselungsschlussel (KEK) mit dem ge- 
nerierten aktuellen MastersitzungsschlOs- 
sel (MSK-A bzw. MSK-B) verschlussett 35 
wird und mit dem Zah Island (CA bzw. CB) 
sowie mit einer Signatur (SIG1 bzw. S1G2) 
erganzt den jeweiligen Nachrichtenteil 
(SMI bzw. SM2) bildet, wobei die Signatur 
durch Anwendung einer dritten mathema- 40 
tischen Funktk>n auf den jeweiligen Nach- 
richtenteil gebildet wird. 

(3) Ubermittein von Nachrchten (M.N) zwi- 
schen dem anfordernden Geral und dem 
Server, wobei die aus den zwei Nachrich- 
tenteilen (SMI bzw. SM2) bestehende er- 
ste Nachricht (M) an das anfordemde Ge- 
rat gesendet (3.1) und dorl empfangen 
(3.2) wird Oder anderenfalls die die Nach- 
richtenubermittlung wiederholt wird, wobei so 
im anforderndem Gerat ein erwarteter 
Zahlstand (CA') fur den Schlusseltausch 
generiert wird und die empfangone erste 
Nachricht (M) bezugtich des Zahlstandes 
(CA) desjenigen Nachrichtenteils (SMI) ss 
ausgewertet wird, der das anfordernde Ge- 
rat betrifft, wobei eine erste Ruckmelde- 
nachricht (N1 ) gebildet und zum Sen/er zu- 



ruckgesendet (3.3) wird. um den Empfang 
des ersten Nachrichtenteils (SMI ) der er- 
sten Nachricht (M) zu bestatigen. lalls der 
ausgewertete Zahlstand (CA) nicht kleiner 
isl, als der im anforderndem Gerat gene- 
riene erwartete Zahlstand (CA'). 
(4) Ubermittein mit Weiterleiten (4.1) min- 
destens emes Nachrichtenteils (SM2). wel- 
cher fur den Kommunikationspanner (B) 
des anfordernden Gerates bestimmt ist, 
wobei im im anderen Gerat, das der Kom- 
munikationspartner (B) ist, ein erwarteter 
Zahlstand (CB') fur den Schlusseltausch 
generiert wird und wobei der Nachrichten- 
teil (SM2) bezuglich des Zahlstandes (CB) 
ausgewertet wird, der den Kommunikati- 
onspartner (B) betrifft. wobei im Ergebnis 
des Auswertens (4.2) eine zweite Ruck- 
meldenachricht (N2) gebildet, zum anfor- 
dernden Geral ubermitiell (4.3) und uber 
das anfordemde Gerat zum Server zuruck- 
gesendet (4.4) wird. um den Empfang des 
zweiten Nachrichtenteils (SM2) der ersten 
Nachricht (M) zu bestatigen. falls der aus- 
gewertete Zahlstand (CB) nicht kleiner ist, 
als der im anderen Gerat generierte erwar- 
tete Zahlstand (CB'), 

(5a) Generieren eines neuen aktuellen Ma- 
stersitzungsschlussels (MSK-A*) analog 
des aktuellen Mastersitzungsschlussels 
(MSK-A) und Entschlussein eines ersten 
Nachrichtenteils (SMI) im anfordernden 
Gerat mitteis des generierten neuen Ma- 
stersitzungsschlussels (MSK-A'). um den 
Verschlusselungsschliissel (KEK) zu er- 
mitteln, wobei eine Vergleichssignatur 
(SIGV) zum Verifizieren gebildet wird und 
das Verifizieren des ersten Nachrichten- 
teils (SMI) mitteis der ubemnittelten ersten 
Signatur (SIGI) erfolgt. sowie Speichern 
des entschlusselten gemeinsamen gehei- 
men Verschiusselungsschlussels (KEK) 
auslesesicher im Speicher des anfordern- 
den Gerates, wenn der Verschlusselungs- 
schlussel KEK gutlig ist Oder Abbrechen 
der Operation, wenn er ungultig ist, und 
(5b) Generieren eines neuen aktuellen Ma- 
stersitzungsschlussels (MSK-B*) analog 
des aktuellen Mastersitzungsschlussels 
(MSK-B) fur das andere Gerat und Ent- 
schlussein eines zweiten Nachrichtenteils 
(SM2) im anderen Gerat mitteis des gene- 
rierten neuen Mastersitzungsschlussels 
(MSK-B*), um den Verschlusselungs- 
schlussel (KEK) zu ermittein, wobei eine 
Vergleichssignatur (SIG2') zum Verifizie- 
ren gebildet wird und das Verifizieren des 
zweiten Nachrichtenteils (SM2) mitteis der 
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ubemnittelten ersten Signatur (SIG2) er- 
folgt. sowie Speichem des entschlusselten 
gemeinsamen geheimen VerschlOsse- 
lungsschlussels (KEK) austesesicher im 
Speicher des anderen Gerates. wenn der s 
Verschlusselungsschlussel KEK gOttig tst 
Oder Abbrechen der Operation, wenn er 
ungultig ist. 
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METER/PSD 
(5a) Entschlussein 
von M1 mit dem 

MKEK-A und 
Speichern des KEK 

— n 



initialisieren 
mit 

(1) Anfordern 
eines KEK 



_^(4) Weitersenden 
von M2 

(3) Senden 

der Nachricht 1 

M = M1,M2 I 



BASE/KOPF 
(5b) Entschlussein 
von M2 mit dem 
MKEK*B und 
Speichem des KEK 



SERVER 

(2) Erzeuge einen neuen Verschlusselungsschlussel 
KEK fiir den Austausch eines Sitzungsschlussels 
und verschlussie jeweils mit MKEK-A und MKEK-B 
zur Nachricht M bestehend aus den Teilen: 
Ml = ENCRYPT (MKEK-A, KEK), 
M2 = ENCRYPT (MKEK-B, KEK). 



Fig. 3 



METERyPSD 

(6) Erzeugen eines 
Sitzungsschlussels SK 

zum Datentausch 

zwischem dem 
GerMt-A und B und 
Speichern des SK 

(7) Verschlussein 
mit dem KEK zu 

einer Nachricht M3 = 
ENCRYPT(KEK, SK) 



k B 

(8) Senden 
von M3 



BASE/KOPF 

(9) Entschlussein 
von M3 mit dem KEK 
und Speichem des 
Sitzungsschlussels 
SK 



SERVER 
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von SM1 mittels 
MSK-A, Verinzieren 

mittels SIG1 und 
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B 



METER/PSD 
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CA Auswerten 

und N1 bilden, ... , 

(Sa) Entschlussein ^^(4.1) Weitersenden^ 



von SM2 
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SERVER 

(2) Erzeuge einen neuen Verschlusselungsschlussel KEK fUr den 
Austausch eInes SItzungsschlussels, Bilde fur die SchlUs- 
selvergabe die neuen Zahlstinde CA^: CA+1, CB=: CB+I, 
Suche fur ID-A, ID-B die IVIasterschlussei MKEK-A, IMKEK-B, 
Biide IMSK-A = XOR(IMKEK-A.CA). Bilde IMSK-B = XOR(IMKEK-B.CB) 
ais neue IMastersitzungsschliissel und Biide unter Verschiiisselung 
mit dem KEK jeweiis eine Signatur SIG1 = ENCRYPT(F{iM1},KEK) 
und SIG2 = ENCRYPT{F{iM2},KEK) fur die Nachrichtenteile: 
SiVI1 = IVI1; SIG1 = ENCRYPT (MK-A, KEK),CA; SiG1 und 
SM2 = M2; SiG2 = ENCRYPT (MK-B, KEK),CB: SIG2. 
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